Alert GCSA-20059 - Vulnerabilita' in Microsoft Windows codec library
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
alert ID: GCSA-20059
data: 02 luglio 2020
titolo: Vulnerabilita' in Microsoft Windows codec library
******************************************************************
:: Descrizione del problema
Microsoft ha rilasciato degli aggiornamenti out-of-band
per risolvere due vulnerabilita', di livello importante e critico,
relative alla libreria dei codec integrata in Windows.
Microsoft afferma che al momento non c'e' notizia
che sia in corso lo sfruttamento di questi bug.
Per approfittare di questi difetti un aggressore deve
indurre un utente a far clic su un file immagine artefatto,
in modo che venga aperto con una delle app che utilizza
la libreria dei codec di Windows.
Un comune vettore di attacco in ingegnere sociale.
:: Software interessato
Windows 10 versioni 1709, 1803, 1809, 1903, 1909, 2004
:: Impatto
Esecuzione remota di codice arbitrario (RCE)
:: Soluzioni
Microsoft sta distribuendo l'aggiornamento in modo automatico
tramite il Microsoft Store.
In alternativa, gli utenti possono installare immediatamente
le patch verificando la presenza di aggiornamenti con l'app
Microsoft Store:
Get updates for apps and games in Microsoft Store
https://support.microsoft.com/en-us/help/4026259/microsoft-store-get-updates-for-apps-and-games
:: Riferimenti
CVE-2020-1425 | Microsoft Windows Codecs Library Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1425
CVE-2020-1457 | Microsoft Windows Codecs Library Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1457
The hacker news - Microsoft Releases Urgent Windows Update to Patch Two Critical Flaws
https://thehackernews.com/2020/07/windows-security-update.html
Threatpost
https://threatpost.com/microsoft-releases-emergency-security-updates-for-windows-10-server/157055/
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iD8DBQFe/bupwZxMk2USYEIRAh8OAKDI3UFiZTWMEl/FUfkEoT4YDaZgjwCgnNc8
EGpN8tw3Ijq1irqoRz3iYUA=
=MLnH
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
alert ID: GCSA-20059
data: 02 luglio 2020
titolo: Vulnerabilita' in Microsoft Windows codec library
******************************************************************
:: Descrizione del problema
Microsoft ha rilasciato degli aggiornamenti out-of-band
per risolvere due vulnerabilita', di livello importante e critico,
relative alla libreria dei codec integrata in Windows.
Microsoft afferma che al momento non c'e' notizia
che sia in corso lo sfruttamento di questi bug.
Per approfittare di questi difetti un aggressore deve
indurre un utente a far clic su un file immagine artefatto,
in modo che venga aperto con una delle app che utilizza
la libreria dei codec di Windows.
Un comune vettore di attacco in ingegnere sociale.
:: Software interessato
Windows 10 versioni 1709, 1803, 1809, 1903, 1909, 2004
:: Impatto
Esecuzione remota di codice arbitrario (RCE)
:: Soluzioni
Microsoft sta distribuendo l'aggiornamento in modo automatico
tramite il Microsoft Store.
In alternativa, gli utenti possono installare immediatamente
le patch verificando la presenza di aggiornamenti con l'app
Microsoft Store:
Get updates for apps and games in Microsoft Store
https://support.microsoft.com/en-us/help/4026259/microsoft-store-get-updates-for-apps-and-games
:: Riferimenti
CVE-2020-1425 | Microsoft Windows Codecs Library Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1425
CVE-2020-1457 | Microsoft Windows Codecs Library Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1457
The hacker news - Microsoft Releases Urgent Windows Update to Patch Two Critical Flaws
https://thehackernews.com/2020/07/windows-security-update.html
Threatpost
https://threatpost.com/microsoft-releases-emergency-security-updates-for-windows-10-server/157055/
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iD8DBQFe/bupwZxMk2USYEIRAh8OAKDI3UFiZTWMEl/FUfkEoT4YDaZgjwCgnNc8
EGpN8tw3Ijq1irqoRz3iYUA=
=MLnH
-----END PGP SIGNATURE-----